ORGANISATION MONDIALE DE LA PROPRIETE INTELLECTUELLE 
Bureau international 




PCX 

DEMANDE INTERNATIONALE PUBLIEE EN VERTU DU TRAITE DE COOPERATION EN MATIERE DE BREVETS (PCT) 



(51) Classification intemationale des brevets 6 : 
G07F 17/32, 7/08 



Al 



(11) NumeYo de publication intemationale: WO 98/47113 
(43) Date de publication ihterriatibnaleT 22 octobre 1998 (22.10.98) 



(21) Numero de la demande intemationale: PCT/FR98/00582 

(22) Date de depot international: 20 mars 1998 (20.03.98) 



(30) Donates relatives a la priorite*: 

97/04733 1 1 avril 1997 (11 .04.97) 



FR 



(71) Deposant (pour tous les Etats designes sauf US): GEMPLUS 
S.CA. [FR/FR]; Avenue du Pic de Bertagne, Pare d*activit6s 
de Gemenos, F-13881 Gemenos Cedex (FR). 

(72) Inventeurs; et 

(75) Inventeurs/D^posants (US settlement): ORUS, Herve [FR/FR]; 
20, rue de la Grafounie, Zac Lou Caire, F- 13470 Carnoux 
en Provence (FR). FOGLINO, Jean-Jacques [FR/FR]; Les 
Ten-asses de 1* Audiguier, F-13790 Peynier (FR). 

(74) Mandataire: NONNENMACHER, Bernard; Gemplus S.C.A., 
Z.I. Athelia III, Voie Antiope, F-13705 La Ciotat Cedex 
(FR). 



(81) Etats designes: AU ( BR, CA, CN, JP, KR f MX, RU, SG, US, 
VN, brevet europeen (AT, BE, CH, DE, DK, ES, FI, FR, 
GB, GR, IE, IT, LU, MC, NL, PT, SE). 



Publiee 



Avec rapport de recherche intemationale. 



(54) Title: SECURITY PROCEDURE FOR CONTROLLING THE TRANSFER OF VALUE UNITS IN A CHIP CARD GAMING 
SYSTEM 

(54) Titre: PROCEDURE SECURISEE DE CONTROLE DE TRANSFERT D'UNITES DE VALEUR DANS UN SYSTEME DE JEU A 
CARTES A PUCE 



CJ1 

\ 


Id 


S 




0p1 


KEY 


0p2 


Kt 




Opx 



TRANSCRIBER 

T 

\ 



SECURITY 
MODULE 
MSI 



DATABASE « MODULE 

B0 I MS0 



Kta | 
I 



Ktb 

Ktc i 
____ ^/ 



Id1 KM 
W2|Kt2 

\ "~ 
I 

IdnfKtn 




M...IDENT1FI CATION 
Op-ACCOUNT BALANCE 



(57) Abstract 

The invention concerns slot machines, such as jackpot or black jack and other casino gambling machines. The machines are designed 
to operate with gaming cards (CJ1), such as chip cards, and are connected by network to a central management unit (1). The invention is 
characterised in that the central management unit comprises a database (BD), wherein are stored data corresponding to those stored on the 
gaming cards such data concerning the gamester and card identification data (Id) and data (S, Opl, Op2) concerning the account balance 
stored in the card (CJ1). The procedure consists in verifying the card data with respect to the central management unit database to ensure 
the integrity of such a gambling machine system operating with chip cards or contactless cards. 
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(57) Abregl 

- - L'invention conceme les machines a sous, type jack-pot. black-jack, et autres machines de jeu d'argent de casino. II est prevu .que 
les machfnM de jeu fonctionnent avec des cartes de jeu <CJ1). type carte a puce, et sont reliees en reseau avec un organe central £ gesUon 
0 LUnlention prtvoit que l'organe central de gestion comporte une base de donnees (BD), dans laquelle sont stocWes des nforrnauons 
correspondan^ I ceHes stock6es sur les cartes dt jeu comme des infonnaUons sur le joueur ainsi que des donnees (Id) d^denufication des 
cartel e° deTSrmL (S, Opl, Op2) renseignant sur le solde de la valeur stockee dans la carte (CJ1). Une venficauon des donnees de la 
carte par rappoTau^ donnees de la base d! l'organe central de gestion permet d'assurer Pintegrite d'un tel systeme de machmes de jeu 
fonctionnant avec des cartes a puce ou des cartes sans contact. . 



UNIQUEMENT A TITRE D' INFORMATION 

Codes utilises pour identifier les Etats parties au PCT, sur les pages de couverture des brochures publiant des demandes 
intemationales en vertu du PCT. 



AL 


Albantc 


ES 


AM 


Armenie 


FI 


AT 


Autriche 


FR 


AU 


Austral ic 


GA 


AZ 


Azerbaijan 


GB 


BA 


Bosnie-Herzegovme 


GE 


BB 


Barbade 


GH 


BE 


Bclgiquc 


GN 


BF 


Burkina Faso 


GR 


BG 


Bulgaria 


HU 


BJ 


Benin 


IE 


BR 


Bresil 


IL 


BY 


Belarus 


IS 


CA 


Canada 


IT 


CF 


R6publique centrafricaine 


JP 


CG 


Congo 


KE 


CH 


Suisse 


KG 


CI 


C6te d'lvoire 


KP 


CM 


Cameroun 




CN 


Chine 


KR 


CU 


Cuba 


KZ 


CZ 


Republique tcheque 


LC 


DE 


Allemagne 


LI 


DK 


Dan em ark 


LK 


EE 


Bstonie 


LR 



Espagne 
Finland* 
France 
Gabon 

Royaume-Uni 

Georgie 

Ghana 

Guine'e 

Grece 

Hongrie 

Irlandc 

Israel 

Islande 

Italie 

Japon 

Kenya 

Kirghizistan 

Republique populaire 

democratique de Coree 

Republique de Coree 

Kazakstan 

Sainte-Lucie 

Liechtenstein 

Sri Lanka 

Liberia 



LS Lesotho 

LT Lituanie 

LU Luxembourg 

LV Lettonie 

MC Monaco 

MD Republique de Moldova 

MG Madagascar 

MK Ex-Republique yougoslavc 

de Macedoine 

ML Mali 

MN Mongolie 

MR Mauritanie 

MW Malawi 

MX Mexiquc 

NE Niger 

NL Pays-Bas 

NO Norvege 

NZ Nouvelle-Zelande 

PL Pologne 

PT Portugal 

RO Roumanie 

RU Federation de Russie 

SD Soudan 

SE Suede 
SG Singapour 



SI 


Slovenie 


SK 


Slovaquie 


SN 


Senegal 


sz 


Swaziland 


TO 


Tchad 


TG 


Togo 


TJ 


Tadjikistan 


TM 


Turkmenistan 


TR 


Turquie 


TT 


Trinile*-et-Tobago 


UA 


Ukraine 


UG 


Ouganda 


US 


Etats-Unis d*Am6rique 


UZ 


Ouzbekistan 


VN 


Viet Nam 


YU 


Yougoslavie 


ZW 


Zimbabwe 



BNSDOCID' <WO 9847113A1 ! > 



WO 98/47113 



PCT/FR98/00582 



PROCEDURE SECURISEE DE CONTROLE DE TRANSFERT 'D * UNITES - 
DE VALEUR DANS UN SYSTEME DE JEU A CARTE A PUCE 

La presente invention concerne le domaine des 
machines a sous, telles que les dispositifs de jack-pot 
et les autres dispositifs de jeux d» argent individuels 
du type de ceux que 1 1 on trouve dans les casinos. 

Elle concerne plus particulierement des machines a 
sous permettant d 1 enregistrer des mises et des gains 
avec des cartes de jeu. Les cartes de jeu sont du type 
carte a puce ou carte sans contact. Les cartes de jeu 
peuvent etre dediees a cette utilisation suivant 
l'exemple des cartes telephoniques . Elles sont 
avantageusement constitutes par des cartes bancaires, 
permettant de transferer des sommes d 1 argent 
directement sur la machine a sous. 

La presente demande vise un procede et un systeme 
de controle de transfert d« unites de valeur entre une 
pluralite de cartes de jeu et une pluralite de machines 
de jeu, chaque machine etant connectee a un 
transcripteur de donnees sur cartes de jeu apte a 
crediter et/ou a debiter des unites de valeur en 
memoire d'une carte de jeu. 

Un objectif general du controle de transfert 
d' unites de valeurs entre cartes de jeu et machines de 
jeu est d'eviter toute malversation financiere a I'aide 
de telle cartes. 

On connait deja des systemes de gestion pour des 
machines de jeu equipees de lecteurs de cartes a puce, 
adaptes a la gestion d»un pare de machines de jeux 
disposees dans des sites relativement fermes et 
controles comme les casinos. Ces systemes sont adaptes 
a un tel environnement , car il font I'objet de 
controles et de reglementations importants, peu 
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susceptibles ~~ "de " " ' permettre" - ~ des~ frau'des sur' — 'les 
transactions de jeux utilisant des cartes a puce. 

Le document EP-A-0 360 613 decrit par exemple un 
systeme de transfert de donnees entre carte a puce et 
5 une pluralite de machines avec des moyens de 
transmission et de stockage des donnees machine dans la 
carte a puce. Un tel systeme permet d'effectuer un 
releve des operations de jeu avec une carte de collecte 
stockant une liste des operations de jeux effectuees 
10 dans un but comptable ou fiscal. 

Un inconvenient d'un tel systeme est qu • on ne peut 
pas contrdler toutes les operations de jeu effectuees, 
sauf a relever toutes les machines avec la carte de 
collecte, ce qui occasionne des manipulations 

15 f astidieuses . 

D' autre part, devant la demande croissante du 
public, il est envisage d' installer des machines de jeu 
dans des sites moins proteges que les casinos corome des 
salles de jeux privees ou des bars, voire meme dans des 

20 lieux d' habitation prives comme le domicile des 
joueurs . 

II apparait clairement qu ' une telle dispersion des 
machines de jeu pose d • importants problemes de securite 
des transactions suite aux operations de jeu. 
25 un but de 1 • invention est de permettre un 

developpement des machines de jeu fonctionnant avec des 
cartes a puce dans des lieux non proteges. 

Un autre but de 1 ' invention est de renf orcer 
l'integrite des systemes de machines de jeux 
3 0 fonctionnant avec des cartes de jeu. 

L' invention prevoit que les machines de jeu sont 
reliees en reseau avec un organe central de gestion. 
Selon 1' invention on a prevu que 1 • organe central de 
gestion comporte une base de donnees, dans laquelle 
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sont stockees des "informations correspondantes ' a celles 
stockees sur les cartes de jeu comme des informations 
sur le joueur ainsi que des donnees d • identification 
des cartes et des donnees renseignant sur le solde de 
5 la valeur stockee dans la carte. Une verification des 
donnees de la carte par rapport aux donnees de la base 
de l'organe central de gestion permet d ' assurer 
l'integrite d'un tel systeme de machines de jeu 
fonctionnant avec des cartes a puce ou des cartes sans 

10 contact. 

L' invention prevoit ainsi un procede securise de 
controle de tiransferts d' unites de valeur entre une 
pluralite de cartes de jeu et une pluralite de machines 
de jeu, chaque machine etant connect ee a un 

15 transcripteur de donnees sur carte de jeu, les machines 
etant reliees en reseau securise avec un organe central 
de gestion par 1 ' intermediate de moyens de liaison, le 
procede coroportant des etapes consistant, au cours 
d'une operation de jeu, a : 

20 _ lire des donnees en memoire d'une carte de jeu, 

notamment un numero d ' identification de la carte et des 
donnees representatives des unites de valeur debitees 
et/ou creditees au cours des operations de jeu 
precedentes , 

2 5 - ichanger des donnees entre la machine et une base 

de donnees de l'organe central de gestion par 
1' intermediate des moyens de liaison du reseau 
securise, notamment des donnees representatives de 
solde des unites de valeur et/ou le numero 
d' identification de la carte ; et, 

- verifier que les donnees en memoire de la carte 
de jeu correspondent aux donnees de la base de donnees 
afin de controler l'integrite d'un systeme constitue 
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par une telle carte, une telle machine, le reseau et 
l'organe central de gestion. 

L 1 invention prevoit avantageusement des moyens de 
securisation qui permettent d ' authentif ier les messages 
de donnees echangees sur le reseau, c'est-a-dire de 
signer de tels messages. 

L' invention prevoit en outre un systeme securise 
de controle de transferts d' unites de valeur entre une 
pluralite de cartes de jeu et une pluralite de machines 
de jeu, chaque machine etant pourvue d'un transcripteur 
apte a debiter des unites de valeur d'une carte de jeu, 
les machines etant reliees en reseau securise avec un 
organe central de gestion par 1 • intermediate de moyens 
de liaison, une carte de jeu stockant en memoire des 
donnees representatives d' operations de jeu effectuees, 
notamment des donnees d ' identification de la carte et 
des donnees representatives de solde des valeurs 
debitees et/ou creditees au cours des operations de jeu 
precedentes, caracterise en ce que l'organe central de 
gestion comporte une base de donnees stockant 
parallelement en memoire les donnees representatives 
des operations de jeu effectuees, notamment les donnees 
d" identification des cartes et les donnees 
representatives des soldes des valeurs debitees et/ou 
creditees au cours des operations de jeu precedentes et 
en ce que des moyens de controle verifient que, pour 
une carte identifiee, les donnees de la base et les 
donnees de la carte correspondent, notamment que les 
donnees representatives du solde correspondent, afin de 
verifier l'integrite du systeme. 

Un module de securisation pour 1 ' authentif ication 
des messages de donnees peut avantageusement etre prevu 
dans le reseau, au niveau d'un transcripteur, d'une 
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" machine, de 1 • organe central", ou meme des moyens- de - 
liaison du reseau. 

L ' invention sera mieux comprise a la lecture de la 
description et des dessins qui suivent, donnes 
5 uniquement a titre d'exemples non limitatifs ; sur les 

dessins annexes : 

- la figure 1 represente un systeme securise de 
controle de transfert d' unites de valeurs entre une 
pluralite de cartes de jeu et une pluralite de machines 

10 de jeu apte a mettre en oeuvre 1' invention ; 

- la figure 2 represente un schema d ■ echange et de 
verification des donnees selon 1' invention ; et, 

- la figure 3 represente un calcul de certificat 
d' authentication par des moyens de securisation selon 

15 1* invention. 

Sur la figure 1 on a represente un systeme securise 
de machines de jeu tel que propose par 1- invention, et 
qui comprend une ou plusieurs machines de jeu 200, 

200 ■ , 200" et 200 '" . 

Une telle machine de jeu 200, semblable aux 
machines a sous que 1 ' on trouve dans les casinos 
dispose d'un monnayeur electronique 210 que 1 ' on 
appellera par la suite transcr ipteur de donnees sur 

carte de jeu CJ. 
25 Le transcripteur de donnees sur carte 210 est relie 

a 1' electronique de la machine 200, par exemple par une 
liaison serie de type RS 485. La machine et le lecteur 
comportent des interfaces entree-sortie adaptees 
cette liaison. 

30 De facon classique, la machine est equipee d'un 

ecran d'affichage 211 qui permet aux joueurs de savoir 
a tout instant quel est le solde dont il dispose pour 
jouer et le montant des mises et des gains realises. 
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La machine 200 qui a ete representee peut bien sur 
etre une machine a monnayeur electronique 
exclusivement, mais aussi une machine a double 
monnayeur, c'est-a-dire une machine qui comporte outre 
5 ce monnayeur electronique, un monnayeur a pieces (ou a 
jetons) symbolise par la reference 201. 

Dans le cas d'une machine a double monnayeur, le 
joueur aura la possibility de jouer avec des pieces ou 
jetons et de se faire restituer ses gains uniquement 
10 sous la forme de pieces. 

Les cartes de jeu CJ representees sous forme de 
cartes a puce comportent une memoire morte effaqrable 
eiectr iquement , par exemple une memoire de type EEPROM. 

II peut s'agir egalement de cartes a puce 
15 comportant un microprocesseur , une memoire de 
programmes et une memoire de travail de type RAM. 

Ces cartes a puce peuvent egalement etre des cartes 
a chargement d» unites de type rechargeable. Ces cartes 
comportent pour cela une memoire electriquement 

2 0 programmable du genre boulier. 

En outre les cartes de jeu peuvent etre constitutes 
par des cartes sans contact, la carte comportant un 
circuit integre a memoire et microprocesseur, et un 
circuit electronique de transmission de donnees sans 
25 contact electrique. On peut par exemple utiliser un 
transpondeur tel que decrit dans la demande de brevet 
FR - 96 16061. 

La realisation des machines de jeu 200 et leur 
connexion a des transcripteurs de donnees sur cartes de 

3 0 jeu ne sera pas detaillee ici. Des exemples de 

realisations de machines de jeu sont detailles par 
exemple dans la demande de brevet FR - 96 10031 dont la 
description est incorporee a la presente. 
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Afin de controler les ' operations de jeux et les - 
transactions avec les cartes, il est prevu de relier 
les machines 200, 200', 200", 200'" en reseau, avec un 
organe central de gestion representes sous la reference 
1 a la figure 1. Les machines du reseau sont reliees a 
1» organe central de gestion 1 par des moyens de liaison 
123. Comme representees a la figure 1, les machines 
200, 200', 200", 200'" peuvent egalement etre reliees 
entre elles par le reseau. 

Les moyens de liaison 123 sont constitues dans le 
cas d'un reseau local comme celui d • un casino par une 
liaison locale. La liaison locale est par exemple une 
liaison serie de type RS 435, un bus de liaison 
parallele , une fibre optique, une liaison radio ou 
tout autre support de transmission. 

Dans le cas d'un reseau joignant des salles de jeu 
dispersees, les moyens de liaisons peuvent etre 
constitues par des canaux de transmission propres au 
reseau ou par des lignes telephoniques. 

Pour etablir des liaisons telephoniques, le reseau 
comporte des modulateurs-demodulateurs de type MODEM 
120, 120', 120" et 120"', disposes en interface entre 
les moyens de liaison 123 et une machine de jeux 200, 
200', 200", 200"' respectivement . 

L • organe central de gestion 1 est constitue par 
exemple d'un ordinateur central relie egalement aux 
moyens de liaison 123 par un MODEM 101 de facon a faire 
partie du reseau. 

Sur la figure 1 on a represents* des moyens de 
liaison 123 sous la forme schematique d'une ligne 
annulaire a laquelle les machines de jeux 200, 200', 
200" et 200"' sont connectees. Les machines sont ainsi 
reliees entre elles et a 1 ' organe central de gestion 1. 
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La liaison peut" ' cependant prendre toutes' sortes de 
formes equivalentes . 

Dans le cas de liaisons telephoniques , les machines 
sont reliees individuellement aux moyens centralises de 
5 gestion, les machines n'etant pas necessairement 
reliees entre elles. Le MODEM 101 des moyens de gestion 
1 peut comporter avantageusement un standard de 
plusieurs lignes telephoniques. 

L'utilisation de liaisons telephoniques presente 
10 I'avantage de permettre d 1 etendre le reseau au lieu 
d f habitation des joueurs. Les machines de jeux sont de 
preference constitutes par des ordinateurs personnels 
300 et 300* de type PC. Les machines peuvent ainsi etre 
connectees chacune a un transcripteur de donnees sur 
15 carte de jeu 310 ou 310' integrant de preference un 
MODEM 130 ou 130', par exemple du type "GEMTEL" 
commercialise par la demanderesse. 

Le reseau utilise peut etre notamment un reseau de 
communication ouvert du type "INTERNET". 
20 II est prevu en outre que le systeme et le reseau 

comportent au moins un terminal de chargement 
represents a la figure 1 sous forme d'une caisse 
enregistreuse 100. Le terminal de chargement 100 
comporte alors un transcripteur 110. Le terminal 100 et 
25 le transcripteur 110 sont alors relies au reseau par 
1' intermediate d'un MODEM 111 connecte aux moyens de 
liaison 123. 

Classiquement, il est prevu que les cartes a puce 
dediees aux jeux sont des cartes non-rechargeables , a 
3 0 l'instar des cartes telephoniques, et elles sont 
fabriquees et chargees uniquement par un organisme 
central . 

Dans une application avec des cartes non- 
rechargeables, il est prevu que la base de donnees BD 
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des moyens "centralises de gestion T dispose des "soldes 
SI, S2, Sn initiaux des valeurs creditees sur les 

cartes CJl , CJ2 , CJn avant leur mise en 

circulation . 

Cependant, selon une variante avantageuse, il est 
prevu que les cartes sont rechargees en unites de 
valeurs par 1 ' intermediate de terminaux de chargement. 

En pratique, ce terminal peut etre celui d ' un 
caissier du casino. De facon alternative, on peut 
prevoir une multitude de terminaux de chargements 
disposes dans des debits de tabac ou dans d ' autres 
commerces accessibles aux joueurs. 

Ainsi lorsqu'un joueur desire obtenir la delivrance 
d'un credit, il donne sa carte de jeu CJl a 1 ' operateur 
habilite a utiliser le terminal 100 qui insere cette 
carte dans la partie transcr ipteur 110 de ce terminal 
100 et qui au moyen du clavier de la caisse va rentrer 
le montant du credit que desire avoir le joueur. Ce 
montant est transfere au transcripteur 110 qui 
enregistre alors sur la carte a puce CJl 1 ■ information 
significative correspondant au credit desire par le 
j oueur . 

Selon 1' invention, le terminal de rechargement peut 
alors communiquer a 1 ' organe central de gestion 1, par 
1- intermedia ire des moyens de liaison du reseau 123, 
les donnees lues sur la carte a recharger, notamment 
son numero d • identification Id et son solde S d'unites 
de valeur. La verification du numero d • identification 
Id de la carte de jeu CJl peut etre faite directement 
par le terminal de rechargement 100 ou par son 
transcripteur de donnees 110 ou de maniere alternative 
par 1" organe central de gestion l. L' invention prevoit 
ainsi une etape preliminaire aux operations de jeu, 
consistant a inscrire dans la base de donnees de 



WO 98/471 13 PCT/FR98/00582 



1' organe central de gestion 1 et dans la - memoir e d'une - 
carte de jeu CJ1, des donnees representatives d'une 
valeur de solde initial lors d'une operation 
preliminaire de chargement de la carte CJ1. 
5 Selon la premiere alternative, il est prevu comme 

visible a la figure 2 que le terminal de rechargement 
ou son transcripteur T dispose des clefs 
d 1 identification secretes Ktl, Kt2 , . Ktn de toutes 

les cartes de jeu CJ1, CJ2, . CJn en circulation. 

10 Ces cles secretes sont de preference stockees dans un 
module de securisation MSI comportant une memoire et 
une unite de calcul, les donnees stockees n'etant pas 
accessibles de l'exterieur. Le terminal 100 verifie 
alors que 1 ' identification Idl de la carte a puce CJ1 

15 est correcte avec la clef Ktl correspondante , en 
appliquant un algorithme d 1 authentif ication ou de 
cryptage selon les methodes connues . 

Selon la seconde alternative, cette 

authentif ication de la carte est effectuee au niveau de 

2 0 1' organe central de gestion 1, les numeros 

d' identification Idl , Id2 , . . . , Idn et les clefs 
d' authentif ication correspondantes Ktl, Kt2 , . Ktn 
etant stockees dans la base de donnees BD de 1 1 organe 
central de gestion ou de preference dans un module de 
25 securite MSO similaire a MSI- Cette seconde alternative 
presente 1 1 avantage d'eviter toute dissemination des 
clefs d 1 authentif ication secretes. 

L' invention prevoit en outre un echange de donnees 
entre le terminal et 1 1 organe central de gestion 

3 0 portant sur les donnees stockees dans la base de 

donnees de 1 • organe central de gestion 1. De 
preference, cet echange de donnees est accompagne d'un 
certificat d 1 authentif ication . Un protocole de 
securisation permettant d'emettre de tels certificats 
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'sera detaiHe'' ci-apres. ■ - Ce protocole - -evite 
avantageusement qu'une machine parasite du reseau ne 
credite abusivement la base de donnee. Le terminal T 
peut ainsi communiquer le solde S des valeurs debitees 
et/ou creditees precedemment sur la carte de jeu CJ1 a 
l'organe central de gestion 1. Apres avoir authentifie 
le numero d ' identification Idl de la carte ou le 
certificat accompagnant les donnees de solde, on peut 
ainsi verifier que le solde S inscrit en memoire de la 
carte de jeu CJ1 correspond bien au solde SI stocke 
dans la base de donnees BD. Si la verification est 
positive, il est prevu que l'organe central de gestion 
1 emet un signal d' accord pour le rechargement de la 
carte CJ1 par le terminal et le transcripteur T. En cas 
15 de verification negative, une procedure ou un signal 
d'alerte peuvent etre mis en oeuvre au niveau de 
l'organe central de gestion 1, ou au niveau du terminal 
de chargement. Dans un reseau de machines a sous de 
casino par exemple, le caissier pourra etre alerte par 
20 le terminal de chargement afin de decouvrir l'origine 
d'un tel dysf onctionnement. Dans un reseau plus etendu, 
on peut prevoir que la carte CJ1 soit avalee par le 
transcripteur T du terminal afin d ' enqueter sur le 
dysf onctionnement . 
25 on peut prevoir en outre que la base de donnees ou 

la memoire des cartes de jeu CJ comportent des 
informations sur le joueur, par exemple sur son age, 
ses habitudes de jeu pour des applications de 
fidelisation des joueurs, de remise de parties 

3 0 gratuites, etc. 

Nous allons presenter maintenant des protocoles de 
controle de transferts d • unites de valeur au cours 
d' operations de jeu effectuees avec le procede ou le 
systeme selon 1' invention. 
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Au debut des' operations de~jeu, le transcr ipteur de 
donnees sur carte 210 de la machine de jeu lit le 
numero d 1 identification en memoire de la carte de jeu 
CJl. Comme expose precedemment au vu de la figure 2, ce 
5 numero d 1 identification Id est de preference 
authentifie par un module de securite MSI prevu dans le 
transcr ipteur T. Le numero Id peut eventuellement etre 
communique a 1 1 organe central de gestion 1 en vue 
d'authentif ier la carte CJl avec la clef 
10 d 1 identification Ktl contenue dans le module de 
securite MSO. Cette etape d 1 identification est de 
preference effectuee une seule fois pour plusieurs 
operations de jeu avec la meme carte sur la meme 
machine, la machine ou le terminal memorisant 
15 eventuellement ce numero d 1 identification Id pour les 
operations suivantes . 

A chaque operation de jeu suivante, le solde S des 
unites de valeur affecte au joueur est revu a la suite 
des mises ou des gains realises. 
20 Selon un premier mode de realisation de 

1' invention, il est prevu de communiquer s implement a 
1' organe central de gestion 1 des donnees relatives a 
1* operation de jeu effectuee, notamment le nouveau 
solde d* unites de valeur obtenu au cours de cette 
25 operation de jeu. L 1 organe central de gestion 1 peut 
ainsi stocker la liste des- operations effectuees, sous 
forme d'une liste des credits ou des debits successifs 
enregistres sur la carte CJl. Cette liste des 
operations OplOl, 0pl02 , . . . , OplOx est par exemple 
3 0 enregistree dans la base de donnees BD sous le numero 
d' identification Idl de la carte CJl en cours 
d'utilisation. 

La recopie du solde SI ou des operations OplOl , 
Opl02, ... , OplOx dans la base de donnees BD de 
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1'organe central ~ de gestion 1 sert alors a etablir un 
releve comptable des operations ou a effectuer des 
verifications fiscales. Un tel historique des 
operations permet egalement lors d 1 une verification 
d'une carte falsifiee de mesurer 1 ' etendue de la 
fraude. 

Selon un deuxieme mode de realisation de 
1' invention, il est prevu une etape supplementaire 
consistant a verifier que les donnees en memoire de la 
carte CJ1 et les donnees de la base de donnees BD 
correspondent afin de controler l'integrite d'un 
systeme constitue par une telle carte CJ1, une telle 
machine 200, le reseau 123 et 1'organe central de 
gestion 1. 

Deux types de verification peuvent etre prevues , la 
verification pouvant porter sur le numero 
d 1 identification Id ou sur le solde S de la carte. 

La verification du numero d ' identification Idl de 
la carte CJ1 est effectuee avec une cle 
d' identification Ktl comme on l'a vu precedemment . 
Selon ce deuxieme mode de realisation, le numero 
d' identification Id est communique a 1'organe central 1 
via les moyens de liaison 123 du reseau. L'organe 
central 1 stocke les cles d ' identification Ktl, Kt2 , 

Ktn des cartes CJ1, CJ2 , CJn en circulation, 

dans sa base de donnee BD ou de preference dans un 
module de securisation MSO . Le module de securisation 
MSO effectue ainsi les calculs d ■ identification en 
interne. 

De plus, la verification peut porter sur le solde 
d' unites de valeur de la carte CJ1. Dans ce cas, le 
transcripteur T lit sur la carte les donnees de solde S 
des unites de valeur et les envoie a l'organe central 
de gestion 1 par 1 ' intermediate des moyens de liaison 
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du reseau 123. La verification du solde S de la carte 
CJ1 est alors effectuee par rapport au solde SI indique 
dans la base de donnees BD sous le numero 
d' identification Idl. Si les deux soldes S et SI 
5 correspondent, 1' operation de jeu est autorisee par 
l'organe central de gestion l. 

Selon une autre alternative, la verification peut 
porter sur la certification des donnees echangees a 
partir de la carte de jeu CJ1. Des algorithmes 
10 standards d'encryptage de donnees type algorithme DES 
permettent en effet de certifier les donnees numeriques 
echangees entre la carte CJ1, le transcr ipteur T, la 
machine de jeu et 1 1 organe central de gestion 1- Le 
cryptage et le decryptage du certificat accompagnant 
15 les donnees transmises n 1 est possible et coherent que 
si on utilise une cle secrete. 

Les algorithmes de cryptage de donnes de type DES 
coxnportent des series de calculs complexes qui ne 
seront pas detailles dans la presente. 
20 Un exemple de mise en oeuvre d' algorithme DES sera 

expose en considerant simplement que l f algorithme 
fournit un nombre crypte, appele clef de session K* , a 
partir d'un premier nombre donne, appele clef 
d' identification K et d'un nombre aleatoire Rnd, selon 
25 1' exemple de la formule suivante : 

K* = DES (K , Rnd) 

La complexity des algorithmes DES rend impossible 
la decouverte d'une clef d 1 identification secrete K a 
30 partir de la clef de session K' et du nombre aleatoire 
Rnd. 

La figure 3 montre un exemple d ' application d'un 
algorithme DES. II permet d'illustrer des moyens de 
securisation du reseau, en particulier la securisation 
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des echanges de donnees "effectuees via - las moyens de - 
liaison du reseau. La carte de jeu dispose dans une 
zone memoire inaccessible d'au mo ins une cle 
d' identification secrete Kt. Le microprocesseur de la 
5 carte genere un nombre pseudo aleatoire Rndl . A partir 
de ces deux nombres Rndl et Kt, l'algorithme DES mis en 
oeuvre par le microprocesseur calcule une clef de 
session Kt ' . 

Cette clef de session Kt ' peut servir de certificat 
10 d'authentification et etre envoyee avec le nombre 
aleatoire Rndl et les donnees a certifier. Cependant, 
pour rendre toute decouverte des clefs impossible, il 
est prevu d'appliquer une seconde fois l'algorithme 
DES. Comme visible figure 3, la carte de jeu, organe 
15 emetteur du message a certifier, demande a 1« organe 
destinataire, 1 • organe central 1 par exemple, de lui 
fournir un second nombre aleatoire Rnd2 . 

L'algorithme DES est a nouveau applique a la clef 
de session Kt « et au second nombre aleatoire Rnd2 par 

2 0 le microprocesseur de la carte pour calculer un 

certificat C. 

Le message de donnees est alors envoye a 1 ' organe 
destinataire accompagne du certificat C et du nombre 
aleatoire Rndl calcules par la carte. Ainsi les clefs 
25 utilisees, en particulier la clef d • identification 
secrete Kt, ne sont pas echangees. 

L'authentif ication du message de donnees est 
effectue en recalculant un certificat C a partir des 
meme donnees. L' organe central de gestion 1 dispose 

3 0 dans son module securise MSO de la clef 

d' identification secrete Kt. Le module securise MSO 
peut done calculer la clef de session Kt ■ a partir de 
la clef d' identification Kt et du nombre aleatoire 
Rndl. 
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Le module securise MSO "dispose "encore" du ombre 
aleatoire Rnd2 qu'il a fourni precedemment a la carte 
de jeu. A partir de ces deux nombres Rnd2 et Kt', le 
module de securite MSO calcule a nouveau un certificat 
5 c' en appliquant une seconde fois l'algorithme DES. 

En verifiant que le certificat C calcule par la 
carte correspond au certificat C recalcule par son 
module de securite, 1 • organe central peut authentifier 
le message de donnee recu. 
10 Notons que la cle de session Kt ' et le certificat C 

sont recalcules a chaque certification de message 
desiree. On evite ainsi que une machine pirate du 
reseau obtienne 1 1 acces a la base de donnee ou a la 
memoire de la carte en recopiant une certification 

15 precedente. 

Apres avoir effectue une ou plusieurs de ces 
verifications, 1 ' organe central 1 envoie un signal 
d 1 accord qui peut etre crypte ou encode. Avec un tel 
signal d- accord, le joueur peut utiliser sa carte de 

20 jeu CJl, effectuer des raises, des operations de jeu et 
recharger sa carte avec ses gains. 

Dans ces deux premiers modes de realisation, on a 
vu que la carte a une fonction d 1 identification, son 
numero Id permettant a 1 ' organe central 1 ou a la 

2 5 machine de jeu de la reconnaitre voire de reconnaitre 

le joueur dans certaines applications de fidelisation 
de clientele. De plus, la carte a une fonction de 
porte-monnaie, le solde d' unites de valeur etant stocke 
dans la carte et connu essentiellement par la carte, la 

3 0 recopie de solde dans 1 ' organe central 1 servant aux 

fins de verification. 

Selon un troisieme mode de realisation, la 
fonction porte-monnaie n • est plus assuree par la carte 
mais par 1* organe central de gestion lui-meme. La carte 
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comporte alors aucune donnee relative au solde du 
joueur mais uniquement des donnees d ' identification, 
telles que le numero d • identification Id, plusieurs 
clefs Kta, Ktb, Ktc d • authentif ication et 
5 eventuellement des informations sur le joueur. Les 
donnees de solde SI des unites de valeur sont alors 
uniquement stockees dans la base de donnees BD de 
l'organe central de gestion 1. Ce compte d' unites de 
valeur se trouve par exemple dans la base de donnees 
10 sous le numero d ' identification Idl. 

Lors d'une operation de jeu, le numero 
d' identification Id de la carte CJ1 est envoye a 
l'organe central de gestion 1 via les moyens de liaison 
123 du reseau. Le numero d ' identification Id peut etre 
15 envoye directement par la machine de jeu 2 00 ou par son 
transcripteur 210 s'il a ete memorise par la machine ou 
par son transcripteur. Le numero d ■ identification Id 
peut aussi . etre lu sur la carte et envoye a l'organe 
central de gestion 1 par le transcripteur 210 a chaque 

2 0 operation de jeu. 

Apres verification du numero d ' identification Id, 
l'organe central de gestion 1 consulte la base de 
donnees BD et envoie a la machine de jeu 200 le solde 
SI des unites de valeur affecte a la carte CJ1. 
25 De preference le transfert des donnees de solde 

d' unites de valeur est effectue avec un certificat 
selon le protocole de securisation des echanges de 
donnees presente precedemment . 

Un avantage de ce troisieroe mode de realisation 

3 0 est que les montants mis en jeu sont stockes dans 

l'organe central de gestion 1, ce qui evite toute 
memorisation de valeur au niveau des cartes de jeu. 

Selon ce troisieme mode de realisation, il est 
done prevu de stocker, dans la base de donnees des 
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moyens centralises de gestion, les " donnees 

representatives du solde des valeurs debitees et/ou 
creditees afin d • eviter une fraude a partir d'une carte 
a puce. 

5 Le controle consiste simplement dans ce troisieme 

mode de realisation a verifier le numero 
d 1 identification Id de la carte de jeu CJ1 avec une cle 
d 1 identification Ktl lue dans la base de donnees BD de 
1 ' organe central de gestion 1 afin de controler 
10 I'integrite de la carte. 

Avec ces trois modes de realisation de 1 1 invention 
on a vu qu'on peut avantageusement controler 
I'integrite des cartes de jeu utilisees sur les 
machines de jeu. 

15 De plus, en mettant en oeuvre des moyens de 

securisation des echanges de donnees, 1 ' invention 
permet avantageusement de verifier I'integrite d'un 
systeme forme par les cartes de jeu, le reseau de 
machines de jeu et la base de donnees de 1 1 organe 

2 0 central de gestion, I'integrite d'un des trois elements 
du systeme, soit une carte de jeu, soit le reseau, soit 
la base de donnees etant verifiee a l'aide des deux 
autres elements. 

L' invention prevoit en effet un systeme apte a 

2 5 mettre en oeuvre le procede selon 1' invention. 

Un tel systeme comporte une pluralite de machines 
de jeu, chaque machine etant pourvue d'un transcripteur 
apte a debiter des unites de valeur d'une carte de jeu, 
les machines etant reliees en reseau avec un organe 

30 central de gestion par 1 ' intermediaire de moyens de 
liaison. 

Selon l 1 invention, les donnees representatives des 
operations de jeu effectuees avec une carte a puce sur 
une machine de jeu sont stockees en memoire de la carte 
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de jeu et parallelement dans une base de donnees' prevue 
dans l'organe central de gestion. 

Les donnees stockees sont notamment les donnees 
d' identification de la carte et le solde ou les soldes 
successifs d' unites de valeur debitees et/ou creditees 

avec la carte. 

Des moyens de controle tels qu'un programme 
d'ordinateur effectuant 1 ' authentif ication du numero 
d' identification de la carte ou la comparaison des 
valeurs de solde stockees sur la carte et dans la base 
ou encore la certification des donnees echangees sont 
prevus afin de verifier 1 ' integrite du systeme. 

De preference, pour securiser les echanges de 
donnees sur le reseau, il est prevu qu'un module de 
15 securisation calcule un certificat d • authentif ication a 
partir de donnees secretes stockees en memoire du 
module et en ce que les moyens de controle verifient 
que le certificat d ' authentif ication calcule par le 
module de securisation correspond au certificat 
20 d* authentif ication calcule par la carte de jeu ou par 
un autre module de securisation. 

De tels modules de securisation MSO, MSI peuvent 
etre disposes dans les cartes du jeu CJ1, C J2 , 
CJn, ou au niveau des transcripteurs 10, 110, 210, 
25 210', 210'', 210 ,,, / 310, des machines de jeu 200, 
200', 200' 1 , 200''', de l'organe central de gestion 1 
ou meme sur les moyens de liaison 123 du reseau. 

On peut en particulier prevoir plusieurs modules 
ou des moyens repartis de securisation au sein du 
reseau. Chaque transcripteur 10, 210, 210', 210", 
210" ', ou chaque interface 11, 120, 120', 120", 120"' 
comprend par exemple un module de securisation de sorte 
que les echanges de donnees sur les moyens de liaison 
123 son accompagnes de certificat d • authentif ication . 



30 
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Par exemple le transcr ipteur 10 emetteur ajoute a 'son 
message son certificat qui est: authentifie par le 
transcr ipteur 210 destinataire avant d'etre transmis a 
la machine 200 correspondante . 

D'autres variantes de realisation, avantages et 
caracteristiques de l 1 invention, apparaitront a l'homme 
du metier sans sortir du cadre des revendications ci- 
apres . 
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REVENDICATIONS 

l. Precede securise de controle de transferts 
d' unites de valeur entre une pluralite de cartes de jeu 
5 (CJ, CJ1, CJ2 , CJn) et une pluralite de machines de jeu 
(200, 200', 200", 200"', 300, 300', 300"), chaque 
machine etant connectee a un transcr ipteur (210) de 
donnees sur carte de jeu ( CJ2 ) , les machines etant 
reliees en reseau securise avec un organe central de 
10 gestion (1) par 1 ' intermediate de moyens de liaison 
(123), le procede comportant des etapes consistant, au 
cours d'une operation de jeu, a : 

- lire des donnees en memoirs d'une carte de jeu, 
notamment un numero d ' identification (Id) de la carte 
15 (CJ1) et/ou des donnees (S, Opl, 0p2 , Opx) 
representatives des unites de valeur debitees et/ou 
creditees au cours des operations de jeu precedentes", 
le procede etant caracterise en ce qu'il comporte des 
etapes consistant a : 
20 - echanger des donnees entre la machine (200) et 

une base de donnees (BD) de 1 ' organe central de gestion 
(1) par 1 ■ intermediate des moyens de liaison (123) du 
reseau securise, notamment des donnees representatives 
de solde (S) des unites de valeur et/ou le numero 
25 d' identification (Id) de la carte ; et, 

- verifier que les donnees en memoire de la carte 
de jeu (CJ1) correspondent aux donnees de la base de 
donnees (BD) afin de controler 1'integrite d ' un systeme 
constitue par une telle carte, une telle machine, le 
3 0 reseau et 1 • organe central de gestion. 

2. Procede selon la revendication 1, caracterise par 
une etape preliminaire aux operations de jeu, 
consistant a : 
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inscrire, dans la base de donnees (BD) de 
l'organe central de gestion (1) et dans la memoire 
d'une carte de jeu (CJ1) , des donnees representatives 
d'un solde (S, SI) initial d 1 unites de valeur lors 
5 d'une operation preliminaire de chargement de la carte. 

3. Procede selon I'une des revendications 
precedentes, caracterise par une etape consistant, au 
cours d'une operation de jeu, a : 

inscrire, dans la base de donnees (BD) de 
10 l'organe central de gestion (1)/ des donnees 

representatives du solde (SI) des unites de valeur de 
la carte de jeu (CJ1) . 

4. Procede selon I'une des revendications 
precedentes, caracterise par une etape consistant, au 

15 cours d'une operation de jeu, a : 

- recevoir les donnees representatives du solde 
(SI) des unites de valeur a partir de l'organe central 
de gestion (1) afin d ' eviter une fraude a partir d'une 
carte (CJ2) ou d'une machine de jeu (200). 

20 5. Procede selon 1 1 une des revendications 

precedentes, caracterise en ce que 1 ' etape de 
verification consiste a : 

- verifier les donnees representatives de solde 
(S) des unites de valeur lues en memoire de la carte de 

25 jeu (CJ1) par rapport aux donnees (SI) lues dans la 

base de donnees (BD) afin de controler l'integrite de 
la carte de jeu (CJ1) . 

6. Procede selon rune des revendications 
precedentes, caracterise en ce que 1' etape de 
30 verification consiste a : 

- verifier le numero d ' identification (Id) de la 
carte de jeu (CJ1) avec une cle d 1 identif ication (Ktl) 
lue dans la base de donnees (BD) de l'organe central de 
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gestion (1) afin de controler 1 ' integrite de la carte 
de jeu (CJ1) . 

7. Procede selon 1 ' une des revendications precedentes 
caracterise en ce que le reseau comporte en outre des 

5 moyens de securisation (MSO) , le procede comportant une 
etape supplementaire consistant a : 

- prevoir que les moyens de securisation (MSO) du 
reseau calculent un certificat d 1 authentif ication (C) 
a partir de donnees secretes (Kt, Kt 1 ) en memoire des 

10 moyens de securisation. 

8. Procede selon la revendication 7, caracterise par 
une etape supplementaire consistant a : 

lire un certificat d • authentif ication (C) 
calcule par la carte de jeu (CJ1) a partir de donnees 
15 secretes (Kt, Ktl) en memoire de la carte. 

9. Procede selon la revendication 8 caracterise en ce 
que 1 1 etape de verification consiste a : 

- verifier que le certificat d 1 authentif ication 
(C) calcule par la carte de jeu (CJ1) correspond au 

20 certificat d 1 authentif ication (C) calcule par les 
moyens de securisation (MSO) du reseau. 

10. Procede selon 1 1 une des revendications precedentes 
caracterise en ce que le reseau comporte en outre des 
moyens de securisation repartis (MSO , MSI) , le procede 

2 5 comportant des etapes supplementaires consistant a : 

- prevoir que des premiers moyens de securisation 
(MSO) du reseau calculent un premier certificat 
d' authentif ication (C f ) a partir de donnees secretes 
(Kt, Kt') en memoire des premiers moyens de 

30 securisation (MSO) , et 

- prevoir que des seconds moyens de securisation 
(MSI) du reseau calculent un second certificat 
d 1 authentif ication a partir de donnees secretes en 
memoire des seconds moyens de securisation (MSI) , et 
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- verifier que le premier certificat 
d 1 authentif ication (C) calcule par les premiers moyens 
de securisation (MSO) du reseau correspond au second 
certificat d 1 authentif ication calcule par les seconds. 
5 moyens de securisation (MSI) du reseau. 

11. Procede selon I'une des revendications 7 a 10 
caracterise en ce que les donnees (Id, S) echangees 
entre la machine (200) et la base de donnees (BD) de 
l'organe central de gestion (1) sont accompagnees d'un 

10 certificat d 1 authentif ication (C, C f ). 

12. Procede selon I'une des revendications precedentes 
caracterise en ce que des moyens de securisation (MSI) 
sont associes au transcr ipteur (T, 10, 110, 210) de 
donnees sur carte de jeu (CJ1) afin de controler 

15 1'integrite d'une telle carte. 

13. Procede selon I'une des revendications precedentes 
caracterise en ce que des moyens de securisation (MSI) 
sont associes a une machine de jeu (T, 200, 300). 

14. Procede selon I'une des revendications precedentes 
20 caracterise en ce que des moyens de securisation sont 

associes aux moyens de liaison du reseau. 

15. Procede selon I'une des revendications precedentes 
caracterise en ce que des moyens de securisation (MSO) 
sont associes a l'organe central de gestion (1) afin de 

25 controler I'integrite du reseau. 

16. Systeme securise de controle de transferts 
d' unites de valeur entre une pluralite de cartes de jeu 
(CJ) et une pluralite de machines de jeu (200, 300), 
chaque machine etant pourvue d'un transcripteur (210, 

3 0 310) apte a debiter des unites de valeur d'une carte de 
jeu (CJ) , les machines etant reliees en reseau securise 
avec un organe central de gestion (1) par 
1 * intermediaire de moyens de liaison (123), une carte 
de jeu (CJ1) stockant en memoire des donnees (S, Opl, 
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Op2, Opx) representatives d' operations de jeu 
effectuees, notamment des donnees d ' identification (Id) 
de la carte et des donnees representatives de solde (S) 
des unites de valeurs debitees et/ou creditees au cours 
5 des operations de jeu precedentes, caracterise en ce 
que l'organe central de gestion (1) comporte une base 
de donnees (BD) stockant parallelement en memoire les 
donnees (SI, OplOl, 0pl02, OplOx) representatives des 
operations de jeu effectuees, notamment les donnees 

10 d' identification (Idl, Id2 , Idn) des cartes et les 
donnees representatives des soldes (SI, S2 , Sn) des 
unites de valeur debitees et/ou creditees au cours des 
operations de jeu precedentes et en ce que des moyens 
de controle (BD) verifient que, pour une carte 

15 identifiee, les donnees de la base (BD) et les donnees 
de la carte (CJ1) correspondent, notamment que les 
donnees (S, SI) representatives du solde d' unites de 
valeur correspondent, afin de verifier 1 • integrite du 
systeme . . . ... 

20 17. Systeme securise selon la revendication 16, 
caracterise en ce que la carte de jeu (CJ1) calcule un 
certificat d 1 authentif ication (C) a partir de donnees 
secretes (Kt, Kt') stockees en memoire de la carte 
(CJ1) - 

25 18. Systeme securise selon la revendication 16 ou la 
revendication 17, caracterise en ce qu'il comporte en 
outre au moins un module de securisation (MSO, MSI), le 
module de securisation calculant un certificat 
d' authentif ication <C) a partir de donnees secretes 
(Kt, Kt') stockees en memoire du module (MSO) et en ce 
que les moyens de controle (MSO) verifient que le 
certificat d' authentif ication (C) calcule par le 
module de securisation correspond au certificat 
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d'authentif ication (C) calcule par la carte de jeu ou 
par un autre module de securisation (MSI) . 

19. Systeme securise selon la revendication 18, 
caracterise en ce qu'un module de securisation (MSI) 

5 est dispose dans le transCripteur (T, 10, 210, 310). 

20. Systeme securise selon l'une des revendications 13 
et 19 , caracterise en ce qu'un module de securisation 
(MSO) est dispose dans une machine de jeu (200) . 

21. Systeme securise selon l'une des revendications 18 
10 a 20, caracterise en ce qu'un module de securisation 

est dispose sur les moyens de liaison du reseau. 

22. Systeme securise selon l'une des revendications 18 
a 21, caracterise en ce qu'un module de securisation 
(MSO) est dispose dans l'orqane central de gestion (1). 

15 23. Procede ou systeme securise selon l'une des 
revendications precedentes caracterise en ce qu'une 
carte de jeu est une carte a puce. 

24. Procede ou systeme securise selon l'une des 
revendications precedentes caracterise en ce qu'une 

20 carte de jeu est une carte sans contact. 

25. Procede ou systeme securise selon l'une des 
revendications precedentes caracterise en ce qu'une 
carte de jeu est une carte bancaire. 
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